Re: [新聞] 程式語言Rust被挖出CVSS滿分10分的重大漏洞,Windows電腦恐因此面臨命令注入攻擊
※ 引述《wei115 (社畜)》之銘言:
: ithome
: 周峻佑
: 程式語言Rust被挖出CVSS滿分10分的重大漏洞,Windows電腦恐因此面臨命令注入攻擊
: 程式語言Rust的開發團隊指出,Windows版標準程式庫存在危急(Critical)等級漏洞
: CVE-2024-24576,有可能會被攻擊者用於執行任意命令
: 針對這項漏洞發生的原因,開發團隊表示,cmd.exe的運作極為複雜,以致於他們實作時
: ,無法找到可涵蓋各種狀態的轉譯參數正確做法。
: https://www.ithome.com.tw/news/162218
推
04/10 20:28,
04/10 20:28
→
04/10 20:28,
04/10 20:28
推
04/10 20:59,
04/10 20:59
→
04/10 21:00,
04/10 21:00
這看起來會讓人理解為
用 rust 寫出的 windows 版程式,當它需要傳參給 windows 的 cmd 處理時.
因為沒有 cmd 的 spec,所以沒有辦法正確地做出傳參的對應方式(api模式)
不精確的比喻, rust 可能收到並轉丟了一個 'del c:\*.*' 的字串出去給 cmd,
結果 cmd 收到以後竟然把它當成了指令.
但是 rust 的開發人員又無從得知也無法預先知道
丟了什麼給 cmd 會出現想像不到的結果.因為根本查不到 cmd 這鬼東西的運作邏輯.
也無法用對方式告訴 cmd 'del c:\*.*'只是文字,不是 command...
--
讀者審校網試行版(2018/1/1 更新網址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、經、社,人文翻譯書籍錯譯提報網)
◎洪蘭"毀人不倦"舉報專區
http://tinyurl.com/ybfmzwne
讀者需自救,有錯自己改...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.90.238 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1712780844.A.292.html
推
04/11 04:32,
3周前
, 1F
04/11 04:32, 1F
推
04/11 04:48,
3周前
, 2F
04/11 04:48, 2F
推
04/11 04:50,
3周前
, 3F
04/11 04:50, 3F
推
04/11 05:52,
3周前
, 4F
04/11 05:52, 4F
→
04/11 06:45,
3周前
, 5F
04/11 06:45, 5F
推
04/11 07:11,
3周前
, 6F
04/11 07:11, 6F
→
04/11 08:21,
3周前
, 7F
04/11 08:21, 7F
→
04/11 08:22,
3周前
, 8F
04/11 08:22, 8F
→
04/11 08:22,
3周前
, 9F
04/11 08:22, 9F
→
04/11 08:22,
3周前
, 10F
04/11 08:22, 10F
→
04/11 08:23,
3周前
, 11F
04/11 08:23, 11F
→
04/11 08:23,
3周前
, 12F
04/11 08:23, 12F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):